Extra sicher mit der Zwei-Faktor-Authentifizierung
«Doppelt hält besser»: Das ist das Prinzip hinter dem Schutzmechanismus, der die abschreckende technische Bezeichnung Zwei-Faktor-Authentifizierung trägt (oft abgekürzt als 2FA). Die Idee ist, dass eine Person, die sich Zugang zu einem Ort, zu Informationen oder Ressourcen verschaffen will, sich auf zwei Arten ausweisen muss: beispielsweise durch eine Zugangskarte und einen Code. Wenn die Person die Karte verliert, nützt die ohne Code nichts. Umgekehrt bringt es einem Unbefugten nichts, wenn er den Code errät, die Karte aber nicht besitzt.
Das lässt sich auf die digitale Welt übertragen: Nebst dem Passwort gibt es ein weiteres Merkmal, das fürs Einloggen in einen User-Account benötigt wird. Das kann ein Code, aber auch ein biometrisches Merkmal wie ein Fingerabdruck sein. Das macht das Eindringen nicht unmöglich, aber es erhöht die Sicherheit stark. Selbst ein schlechtes Passwort – das immer vermieden werden sollte –, ist mit 2FA kein fundamentales Risiko mehr.
Doch ist das nicht viel umständlicher? Doch. Darum stellt sich auch gleich die Frage, ob wir die Extrasicherheit immer oder nur für die essenziellen Dienste wie das Onlinebanking verwenden sollen. Überlegen Sie sich die Konsequenzen, wenn Ihnen der Zugang abhandenkäme: Würde ein Hacker Ihnen sensible Informationen stehlen oder in Ihrem Namen Schaden anrichten können? Falls ja, nehmen Sie den Zusatzaufwand in Kauf
2FA ist inzwischen weit verbreitet. Allerdings weisen nicht alle Betreiber Sie darauf hin, dass die Zwei-Faktor-Authentifizierung zur Verfügung steht. Wenn Sie eine Anwendung benutzen, die Sie zusätzlich schützen möchten, sehen Sie in den Einstellungen oder in der Hilfe nach, ob und wie sie aktiviert werden kann. Eine Übersicht finden Sie auf der Website 2fa.directory.
Doch welche Methode ist die beste? Bei Diensten, die zusätzlich zum Passwort einen Einmal-Code verwenden, können Sie sich den via SMS oder App übermitteln lassen. Das SMS hat den Vorteil, dass es dafür kein Smartphone braucht und Sie mehrere Mobiltelefone nutzen können, indem Sie einfach die SIM-Karte wechseln. Allerdings lassen sich SMS-Nachrichten leicht abfangen. Wenn Sie SMS nutzen müssen, dann verwenden Sie für den Empfang nicht das Gerät, auf dem Sie sich einloggen möchten.
Mit einer Authentifizierungs-App sind Sie sicherer. Es gibt einige davon: Google Authenticator, Microsoft Authenticator oder Authy. Grundsätzlich sollten Sie dank des TOTP-Standards jede App für jeden Dienst verwenden können. Apropos: Viele Passwortmanager erzeugen auch die Einmal-Codes. Das reduziert die Schutzfunktion jedoch beträchtlich, weil ein Hacker, der die Passwortdatenbank klauen und knacken kann, auch an den zweiten Faktor herankommt. Darum ist eine separate App besser – und wenn Sie den Passwortmanager verwenden, dann legen Sie für die Einmal-Codes eine eigene Datenbank an.
Und der Haken? Der liegt natürlich darin, wenn der zweite Faktor verloren geht, beispielsweise, wenn Sie Ihr Smartphone verlieren oder wechseln. Es gibt dann zwar die Möglichkeit, den zweiten Faktor zurückzusetzen, aber das ist aufwendig und zeitintensiv. Beugen Sie daher vor, indem Sie sicherstellen, dass Sie eine alternative Möglichkeit für den zweiten Faktor haben. Welche Wege Ihnen dafür offenstehen, hängt vom Dienst ab: Oft können Sie zusätzlich einen physischen Sicherheitsschlüssel hinterlegen oder den Code via Sprachanruf auf eine Festnetznummer übermitteln lassen. Bei Microsoft und Google ist es auch möglich, einen Wiederherstellungs-Code zu generieren, den Sie am besten ausdrucken und ins Schliessfach legen.
Matthias Schüssler ist Digitalredaktor der SonntagsZeitung.